ドメインのロックについて考えさせられました

朝Twitterを見たら『ドメイン移管』という言葉がトレンドに入っていて驚きました。
何事だろうと確認してみたら・・・。

人気アニメの公式サイトが乗っ取られてしまったようです。
しかも乗っ取った方法を紹介しています。

「ラブライブは我々が頂いた！　我々がラブライブを入手する際、 手の込んだプログラミングを行なったり、 こっそりとデータを傍受したりする必要はなかった 我々の方法は、移管オファーを行い元所有者が移管オファーを承認しただけだった　元所有者はこれだけであっさりと、ラブライブ!を、我々へと移管してしまった」

不正アクセスをしなくても乗っ取れる

この事件の何が怖いかと言えば、乗っ取り犯は不正アクセスをしておらず、正式な手続きをしてドメインの所有権を手に入れていることです。
jpドメインに対して正式な所有者以外の人間が移管申請が出来てしまう仕様になっているのはどうかと思います。が、今現在出来てしまう以上仕方ありません。
移管申請によって所有者側に『この申請を承認しますか？』といった内容のメールが届きます。
これで承認してしまうと移管手続きが取られます。
公式サイトの管理者がこのメールに対してうっかり承認してしまったかどうかは分かりません。
ただ、拒否しなかったことは確かです。
このメールに関してもう一つ怖い仕様がありました。

10日間放置すると承認したことになります。

jpドメインの大元である株式会社日本レジストリサービス(JPRS)の汎用JPドメイン名登録申請等の取次に関する規則に書いてあります。

この第11条第2項にあります。

２ 当社が、指定事業者に対して登録者の意思確認等を依頼した場合、指定事
業者がその依頼のときから10日以内に登録者がその意思を有しない旨の回答を
しない場合には、指定事業者において登録者の意思確認等を行い、登録者がそ
の意思を有する旨の回答を得たものとみなす。

つまり移管申請した覚えがないからといって、承認依頼メールを迷惑メール扱いして放っておいたり削除してしまったりすると10日後にはドメインは移管申請を下側の管理下に入ります。
そしてネームサーバの設定を変更して、本来のものとは別のサイトを表示するようにしてしまえば乗っ取り完了です。

どうすれば防げる

取りあえずwhois代理公開が設定されているドメインに対しては、どこのレジストラも移管できないようになっています。
これに加えて、ドメインのロックを行えば良いと思います。
ただ、どのレジストラでも出来る訳ではありません。

管理人の現状

私は現在4ヶ所のレジストラでドメインを管理しています。
この内3ヶ所にjpドメインがあります。
実は折を見て、1ヶ所に集約するつもりでした。管理の一元化と費用削減で、集約する場所も決めていました。
しかし改めて確認したところ、そのレジストラはドメインをロックする機能は持っていませんでした。
正直これまではドメインロック機能の有無など考えたこともありませんでした。集約先を決めたのも更新料が安かったからです。
こういう安易な決め方は良くないと今回反省しました。
泡沫サイトだから乗っ取りの対象にはならない、とは言えないですよね。
所有している全てのドメインでwhois代理公開設定をしていますが、ロックできるものはした方が良いと思いました。
集約先をどうするかは改めて考えたいと思います。

ドメインロック機能からレジストラを考える

ムームードメイン

whois代理公開設定をした時点でドメインロックをしたことになります。

お名前.com

取得及び移管した時は初期設定はロックはかかっていません。ロックをするかどうかを自分で設定する必要があります。
但し、ロックできないドメインがあります。jpドメインはロックできないドメインとなっています。
別途『ドメインプロテクション』という機能があり、こちらではjpドメインも保護できます。が、有料オプションで 980円+税／年の費用がかかります。

Ｘドメイン

こちらではレジストラロックという表現になっていますが、取得または移管すると自動的にロックされます。

＠ドメイン

jpドメイン専門のレジストラです。
ロック機能は無いようです。